7 Tipps

So gehen Sie sicher mit Zugriffsrechten um

Bernhard Steiner ist Director PreSales EMEA Central bei Ivanti
Whitelisting hat sich als probates Mittel zur Absicherung der Firmen-IT etabliert. Im Unternehmensalltag beschränkt es sich allerdings allzu häufig auf die Erstellung von Listen vertrauenswürdiger Webseiten, Anwendungen oder Benutzer. Hier 7 Tipps für den sicheren Umgang mit Zugriffsrechten.
Zur effektiven Durchsetzung von IT-Sicherheits-Policies müssen verschiedene Mechanismen miteinander verzahnt werden.
Zur effektiven Durchsetzung von IT-Sicherheits-Policies müssen verschiedene Mechanismen miteinander verzahnt werden.
Foto: EtiAmmos - shutterstock.com

Whitelisting kann heute durchaus moderner arbeiten als die häufig anzutreffenden selbstentwickelten Provisioning-Skripte: Als dynamische Methode hilft es, Zugriffskontrollen auf der Grundlage individueller Identitäten und kontextbezogener Attribute durchzusetzen. In dieser Form eingesetzt, schützt Whitelisting Unternehmen wirksam vor Bedrohungen und unterstützt Mitarbeiter aktiv in ihrer Arbeit. Hier 7 Tipps, wie sich ein dynamisches Whitelisting umsetzen lässt:

  • 1. Implementieren Sie ein zentrales Repository mit klar definierten Whitelisting-Richtlinien

Dynamisches Whitelisting stellt für die IT-Abteilung einen wichtigen Schritt in Richtung Unternehmenssicherheit dar und bietet umfassende Möglichkeiten, Sicherheits-Policies durchzusetzen. Leider verfolgen die meisten Unternehmen bei der Definition ihrer Whitelisting-Richtlinien einen dezidiert fragmentierten und manuellen Ansatz. Unterschiedliche Eigentümer von Anwendungen, Datenbanken und Inhalten pflegen ihre individuellen Benutzerrechte in unterschiedlichen Zugriffslisten. In manchen Fällen werden die Genehmigungen selbst komplett ad hoc erteilt. Regelungen für den Umgang mit sicherheitsrelevanten Technologien (Verbot von USB-Laufwerken, Geo-Fencing, etc.) werden gerne an verschiedenen Orten von verschiedenen Personen gepflegt. Eine fehlende Automatisierung und die dezentrale Zugriffsverwaltung verhindern, dass sich Identitäts- oder Kontextattribute berücksichtigen lassen, die für ein dynamisches Whitelisting nötig sind.

Der Aufbau eines einheitlichen Repository mit klar definierten Whitelisting-Richtlinien ist daher der erste Schritt, sich von Traditionen zu lösen. Diese Richtlinien können zwar von verschiedenen Personen mit entsprechender Autorität im Unternehmen verwaltet und kontrolliert werden. Aber sie müssen an einem einzigen, zuverlässigen und aktuellen Ort verwaltet werden - und das über alle Ressourcen, Parameter und Benutzergruppen hinweg.

  • 2. Lösen Sie sich von manuellen Konfigurationen und selbst erstellten Skripten

Security Policies alleine sichern Unternehmen noch nicht ab. IT-Abteilungen benötigen vor allem eine Möglichkeit, Richtlinien automatisiert zu implementieren und durchzusetzen. Viele Unternehmen sind immer noch auf eine Vielzahl unterschiedlicher Mechanismen angewiesen, um Benutzern einen Whitelist-gerechten Zugriff auf digitale Ressourcen zu ermöglichen. Dazu gehören häufig anwendungs- und datenbankspezifische Admin-Tools und selbst entwickelte Provisioning-Skripte.

Die IT-Sicherheit hat immer dann ein Problem, wenn Unternehmen auf "Skript-Helden" bauen. Aus sicherheitstechnischer Sicht sind Skripte schlicht zu unzuverlässig, denn sie unterliegen menschlichem Versagen und sind nicht untrennbar mit den zugrundeliegenden Richtlinien verbunden. Zu deren Durchsetzung wurden sie allerdings geschaffen. Noch gravierender: Es ist nahezu unmöglich, Skripte zu modifizieren, die vor Jahren von Personen geschrieben wurden, die heute vielleicht nicht einmal mehr im Unternehmen sind.

Die IT benötigt daher eine einheitliche und automatisierte Möglichkeit zur Implementierung von Zugriffsrichtlinien, zum Onboarding von Mitarbeitern und zur Erfüllung der steigenden Anforderungen an das Audit-Reporting.

  • 3. Entziehen Sie ausscheidenden Mitarbeitern ihre digitalen Rechte

Einer der wichtigsten Imperative für die IT-Sicherheit lautet: Unmittelbar nach einer Kündigung müssen einem Mitarbeiter alle digitalen Rechte entzogen werden. Bleiben Zugriffsrechte bestehen, steigt die Gefahr, dass ein verärgerter Ex-Mitarbeiter unternehmenskritische Daten stiehlt und/oder vernichtet. Auch ist die Regel aus rechtlicher Sicht relevant: Typischerweise erfordern Compliance-Richtlinien einen prüffähigen Nachweis, dass unbefugte Personen - in diesem Beispiel ein ehemaliger Mitarbeiter - keinen Zugang mehr zu personenbezogenen oder anderen sensiblen Daten erlangen.

In der Praxis verfügt kaum ein Unternehmen über eine zuverlässige und automatisierte Technologie, um die Zugriffsberechtigungen einer Person für alle Anwendungen, Datenbanken, SharePoint-Instanzen, Kommunikationsdienste usw. restlos und sofort zu beseitigen. Einige dieser Privilegien bleiben Tage, Wochen oder sogar Monate nach der Kündigung eines Mitarbeiters bestehen. IT-Sicherheits-Tools, um Verstöße zu erkennen und zu blockieren, greifen in diesem Fall nicht, erfolgt der Datenzugriff doch immer noch "autorisiert".

Aus diesem Grund ist es wichtig, ein einheitliches System für die Rechteverwaltung angemessen mit anderen Systemen zu verzahnen - insbesondere mit Systemen, die eine Beendigung von Zugriffsrechten anstoßen. Das können zentrale IAM-Systeme (Identity & Access Management) ebenso sein wie HR-Anwendungen und Auftragsnehmerdatenbanken. Erst eine solche Integration schafft Sicherheit, dass digitale Privilegien rechtzeitig und vollständig widerrufen werden.

  • 4. Flexibilisieren Sie Ihre Zugriffskontrolle

Die IT-Sicherheit krankt häufig an einer unflexiblen Rechtevergabe. Die meisten Firmen wenden nur einen begrenzten und relativ groben Satz von Parametern auf ihre Zugriffskontrolle an: Benutzer A kann Leserechte für Datensatz X erhalten, Benutzer B kann Administratorrechte für Anwendung Y erhalten, und so weiter. Solch starre Vergaberegeln führen dazu, dass die IT-Sicherheit nicht mehr mit aktuellen Formen der Arbeit im Unternehmen Schritt hält und die Produktivität der Mitarbeiter leidet. Dies lässt sich nur lösen, indem Zugriffsparameter reichhaltiger und kontextbezogener eingesetzt werden. Geo-Fencing oder WiFi-Sicherheit sind typische Beispiele dafür. Je nachdem, an welchem Ort sich ein Nutzer befindet, sollten seine Zugriffsrechte freier oder strenger gestaltet sein.

Um eine solche flexible Zugriffskontrolle zu implementieren, benötigt die IT-Abteilung jedoch ein Rechte-Management-System, das automatisch und in Echtzeit auf den jeweiligen Sitzungskontext reagiert und eine Hash-basierte Identifizierung durchführt. Denn ohne diese Kontrollen schränkt die IT ihre Verteidigungslinie gegen verschiedene Arten von Identitäts- und Content-Spoofing stark ein.

  • 5. Schaffen Sie konsistente Prozesse, um neue Cloud-Anwendungen zur Whitelist hinzuzufügen

Geschäftsabläufe sind nicht statisch - die IT-Sicherheit darf es auch nicht sein. Tatsächlich nutzen Mitarbeiter Cloud-Dienste häufiger, als es die IT-Mitarbeiter vielleicht wissen. Viele dieser Services werden direkt von den Geschäftsbereichen aktiviert, ohne dass die IT übermäßig viel Einfluss darauf hat. Früher wurde dies als "Schatten-IT" bezeichnet. Die Art, wie Mitarbeiter in Ihrem Unternehmen Software und analytische Tools in der Cloud nutzen, ist längst nicht mehr nur ein Schatten - sie ist unternehmenskritisch.

Lassen sich diese neuen Anwendungen und Dienste nicht schnell und umfassend absichern, eröffnen sich Schwachstellen in punkto IT-Sicherheit:

  • Mitarbeiter sind nicht rechtzeitig in der Lage, die benötigten Cloud-Ressourcen zu nutzen, da sie vom Whitelisting-System blockiert werden.

  • Neue Ressourcen werden zu schnell auf die Whitelist gesetzt, ohne dass sie durch Richtlinien wie Geo-Fencing und WiFi-Beschränkungen ordnungsgemäß abgesichert sind.

  • Mitarbeiter überlegen sich Workarounds, um die Sicherheitsmechanismen der IT möglichst unbemerkt zu umgehen.

Aus Sicherheitsperspektive ist keine dieser Vorgehensweisen akzeptabel. Um dies zu vermeiden, benötigt die IT einen schnellen, zuverlässigen und konsistenten Prozess für das Hinzufügen neuer Cloud-Ressourcen zum Whitelisting-Repository oder der Automatisierungs-Engine. Ein solcher Prozess muss ähnlich verankert sein wie der einer On-Premise-Anwendung. Ohne ihn ist die IT nicht in der Lage, mit den prozessualen Veränderungen im Unternehmen Schritt zu halten. Dies bedeutet, dass entweder die IT-Sicherheit kompromittiert wird oder Mitarbeiter behindert werden.

  • 6. Erleichtern Sie jungen Mitarbeiter die Arbeit mit neuen IT-Services

Junge Mitarbeiter erwarten von ihrer IT-Abteilung, dass sie neue IT-Dienste über einen Self-Service anbietet - ganz so, wie sie es privat beispielsweise über AppStores gewohnt sind. Arbeitgeber punkten bei ihnen, die Portale anbieten, um digitale Dienste in Eigenregie zu bestellen. Über ein solches Self-Service-Portal sollen dann auch gleich verschiedene administrative Aktionen möglich sein, zum Beispiel die Aktivierung von Diensten oder eine automatische Rücksetzungen von Passwörtern und vieles mehr.

Generell ist Self-Service ein Gewinn für die IT-Sicherheit. Über Portale, mit denen Mitarbeiter IT-Dienste eigenständig bestellen, lassen sich Anfragen nach digitalen Services schnell und automatisiert umsetzen. Da solche Portale das IT-Team von Routineaufgaben befreien, gewinnt die IT Zeit, beispielsweise für die Planung einer Security-Strategie. Self-Service-Tools lassen sich zudem auch gut für die Delegation administrativer Aufgaben an die Fachverantwortlichen nutzen. Dies beinhaltet beispielsweise die Autorisierung von Zugriffsrechten oder das Hinzufügen von Softwarelizenzen.

Self-Service und Delegation lassen sich innerhalb eines Unternehmens effizient bereitstellen, indem die IT-Abteilung die Automatisierungs-Engine für das Whitelisting auch auf Nicht-IT-Benutzer ausdehnt. Allerdings ist dabei darauf zu achten, dass die entsprechenden richtlinienbasierten Kontrollen existieren.

  • 7. Bereiten Sie sich auf ein Security-Audit vor

Die IT-Abteilung hat heute grundsätzlich die Möglichkeit, jeden Benutzer perfekt auf eine exakt definierte Anzahl an sicheren, digitalen Ressourcen zu beschränken. Ressourcen, auf die er Anspruch hat und die ihn in seiner täglichen Arbeit unterstützen. Cloud-basierte Services, die er für seine Geschäftsprozesse benötigt, werden in wenigen Schritten in ein superschlankes und logisch präzises Rechtemanagement eingefügt. Die IT kann ihren Nutzern darüber hinaus Self-Service-Funktionen zur Verfügung stellen und vieles mehr.

Dies alles nützt jedoch wenig, wenn Unternehmen nicht in der Lage ist, einen Compliance-Prüfer glaubwürdig von der Sicherheit der umgesetzten Maßnahmen zu überzeugen. Aus diesem Grund benötigen Unternehmen ein einheitliches, regelbasiertes und automatisches Rechtemanagement, das sich zu alledem noch vollständig selbst dokumentiert. Skripte nützen hier wenig. Gleiches gilt auch für eine Verschmelzung unterschiedlicher plattform- und anwendungsspezifischer Zugriffskontrollen. Nur ein zentrales "Gehirn", also eine unternehmensübergreifende Zugriffssteuerung, sichert IT-Ressourcen effektiv ab und liefert alle Informationen für ein erfolgreiches Audit. Das IT-Security-Team wird auskunftsfähig: Es kann nachweisen, dass alle erforderlichen Maßnahmen zur Absicherung des Unternehmens ergriffen wurden.

Fazit

Fragt man die IT-Abteilung eines Unternehmens, ob sie die geschilderten Wege bereits im eigenen Haus eingeschlagen hat, wird ein einfaches "Ja" oder "Nein" kaum zu erwarten sein. Ein "Irgendwie" oder "Noch nicht ganz" spiegelt da schon eher die reale Situation wieder. Denn die Herausforderungen an das Rechte-Management sind vielschichtig. Das gilt auch in punkto IT-Automatisierung und die Audit-Vorbereitung.

Unabhängig vom tatsächlichen Umsetzungsstand: Mit Hilfe eines automatisierten und richtlinienbasierten Ansatzes für die Zugriffskontrolle nähern sich Firmen einem idealen Zielvektor an. Indem sie sich auf ein zentrales Rechte-Management für den Zugriff auf alle digitalen Ressourcen fokussieren, sichern sich Unternehmen ab. Ein solcher Ansatz greift bei komplexen Anwendungen für das Kerngeschäft ebenso, wie für die neuesten Cloud-Services.